Şirketiniz KVKK için uygun mu?

AnasayfaŞirketiniz KVKK için uygun mu?

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da yürürlüğe girmesiyle, “kişisel veri” olarak nitelendirilen verilerin işlenmesi hususunda birtakım prensip ve kurallar getirilmiştir.
Kişisel veriler ile şirketlerin korumakla yükümlü olduğu diğer veriler birbirinden ayrılmalıdır. Bu sınıflandırmanın her bir veri sorumlusunun faaliyet gösterdiği sektörün özellikleri dikkate alınarak, titizlikle yapılması gerekmektedir.
Özellikle, kişisel veri niteliğindeki bilgilerin yoğun bir şekilde işlendiği sağlık, bankacılık, internet, telekomünikasyon, elektronik ödeme sistemleri, insan kaynakları, ulaşım, konaklama gibi sektörler için hızlı bir uyum süreci zorunlu hale gelmiştir.

Şirketinizin KVKK ile uyumlu olup olmadığını anlamak için aşağıdaki soruları inceleyebilirsiniz.

Veri sorumlusu veya veri işleyen olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında aydınlatma yükümlülüğünüzü yerine getirdiniz mi?

6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi ile veri sorumluları için kişisel verisini işlediği ilgili kişileri aydınlatma yükümlülüğü getirilmiştir. Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte kişisel verisi işlenen gerçek kişiler için de bir hak olarak karşımıza çıkmaktadır. İşlenen kişisel verilerle ilgili bilgilendirmeyi ifade etmekte olan aydınlatma yükümlülüğü, kişisel veri işlemenin hukuka uygun şekilde yerine getirilmesi için olmazsa olmaz bir şarttır.

İşlediğiniz kişisel veriler için; kişisel verilerin işlenmesi (saklama ve imha) politikası oluşturdunuz mu?

Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

KVKK kapsamında; eğer istisna kapsamındaki durumlardan birine girmeyen bir hal var ise, veri işlerken ilgili kişi’ den açık rıza aldınız mı?

Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından hukuka uygunluk sebeplerinden bir tanesidir.

Verileriniz yurt içinde herhangi bir gerçek/tüzel kişiye aktardınız mı?

İlgili kişiden açık rıza almanız gerekmektedir. Ancak aşağıdaki maddelerden biri söz konusu ise rıza almadan verileri aktarmanız mümkündür;
Kişisel Veri açısından;
4.1. madde yer alan istisnalar burada da geçerlidir.
Özel Nitelikli Kişisel Veri açısından;
4.2. maddede yer alan istisnalar burada da geçerlidir.

Veri işlerken rızaya ihtiyaç duyulmayan hallerin neler olduğunu biliyor musunuz?

Kişisel veri işleme, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir.

Kişisel Veri İşleme Envanteri’ ni oluşturdunuz mu?

Veri Sorumluları Sicili Hakkında Yönetmelik ile Veri Sorumluları için; Kişisel Veri İşleme Envanteri (“Envanter”) hazırlanması yükümlülüğü getirilmiştir. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı
ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,” ifade eder.

Verileriniz yurt dışında herhangi bir gerçek/tüzel kişiye aktardınız mı?

İlgili kişiden açık rıza almanız gerekmektedir. Ancak 4.1. ve 4.2. maddede yer alan istisnai haller ile birlikte kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarabilirsiniz. Yeterli
korumanın bulunduğu ülkeler (Güvenli Ülkeler Listesi) Kurulca belirlenerek ilan edilecektir. Ayrıca her iki halde KVKK kapsamında tüm idari ve teknik tedbirleri yerine getirmek zorunda olduğunuzu da bilmeniz gerekmektedir.

İlgili kişilerin size başvurmalarını sağlayan Başvuru Formu’ nuzu oluşturdunuz mu?

Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.

İnternet adresinizde bir gizlilik politikası oluşturarak site ziyaretçilerinin bilgilerini toplama yönteminizle ilgili bir bilgilendirme yaptınız mı?

Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK
kapsamında cezai riskle karşı karşıya kalabilirsiniz. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari
para cezası uygulanması söz konusu olacaktır.

Şirket tedarik sözleşmeleriniz ve ilgili diğer evraklarınıza KVKK ile ilgili hükümleri eklediniz mi?

Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK
kapsamında cezai riskle karşı karşıya kalabilirsiniz. KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

Şirket personel sözleşmelerinize KVKK ile ilgili hükümleri eklediniz mi?

Düzenlediğiniz ihtimalinde; metin üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde politika hazırlanmış olsa dahi güncelliğini kaybedeceği için KVKK
kapsamında cezai riskle karşı karşıya kalabilirsiniz.
KVKK’ nun Kabahatler başlıklı 18.maddesi gereği; veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır.

Şirket personellerinize zorunlu KVKK eğitiminizi aldırdınız mı?

Kişisel veri ile muhatap olan tüm elemanlarınızın bu eğitimi aldığından emin olmalı ve eğitim tarihinden sonra istihdam olan personellerinize de bu eğitimi aldırmak zorunda olduğunuzu unutmamalısınız.

Elektronik ortamda tutulan VERBİS sistemine kayıt oldunuz mu?

Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilmektedir.

Yetki Matrisi Oluşturuldu mu?

Yetki Matrisi Şirketlerde paylaşılan her türlü dosya ve Database için kimin erişim yetkisi olduğu, kimin ne zaman ne şekilde hangi cihazdan erişim sağladığı yada erişimim yetkisinin olduğu yazılan tablolardır.
Yetki Matrisi oluşturulmadıysa, en kısa zamanda oluşturulması gereklidir, şirket bünyesinde var olan tüm dosyalara kimlerin erişim yetkisinin olduğu tablo şeklinde görülmeli KVVK kapsamında denetim olması halinde ilk sorulacak olan matris tablosu olacaktır.

Yetki Kontrol Listesi Bulunmakta mıdır?

Yetki Kontrol listeleri yetki matrisleri ile beraber oluşturulan, bir dosya üzerinde yetkilerinin kimin olduğunu gösteren tablolardır. Yetki matrisi listesinde bulunup Okuma, yazma, taşıma ya da değiştirme yetkilerinin kimde olduğunu gösteren yetki matrisi ile beraber oluşturulan tablolardır. Yetki Matrisinin olmadığı yerde yetki kontrol listesini oluşturmak olası değildir. Yetki kontrol listesi elinizde yoksa, yetki matrisinin oluşturulmasında problemli bir süreç oluşmuştur. Yetki kontrol listesi oluşturmanız olası bir denetimde sorulacak olan bu database üzerinde ki yetkilileri görebilir miyiz? Sorusunun cevabı olacaktır.

Kullanıcı Hesap Yönetimleri ne şekilde yapılmaktadır?

Bu prosedürün amacı şirket bünyesinde veya yan kuruluşlarda çalışan ve network Alanı’na dahil olan kullanıcıların şifrelerinin azami ölçüde güvenlikli ve sağlam bir yapıda oluşturulmasını, korunmasını ve değiştirme sıklığının bir standartla belirlenmesidir. Bu prosedür uygulamaya sokulmadığı taktirde, şirket bünyesinde ki kullanıcılar saldırganlar tarafından basitçe tahmin edilecek olan “12345” vb. şifreleri kullanabilme hakkı elde ederler, bu şirket bünyesinde kritik noktalarda çalışan personellerin basit, kırılabilir şifre
oluşturulmasına yol açacaktır.

Erişim Logları var mı?

Bilgisayarın gerçekleştirdiği etkinliğin kayıtlarının tutulması anlamında kullanılır. Örneğin yerel bilgisayarınız karşılaştığı tüm hata olaylarını tanım ve tarih bilgisi ile bir dosyada saklar. Ya da web sitenizi barındırdığınız sunucu, olmayan bir sayfanın çağrılması, kodda bir hata olması vb. tüm gerekçelerle oluşan hataların tanım ve tarihlerini bir dosyada tutarken, başka dosyalarda da tüm başarılı işlemleri, ya da e-posta etkinliklerinin hatalarını tutar. Hangi bilgisayardan hangi işlemlerin yapıldığına dair liste tutmanızı sağlar olası bir denetimde erişim loğları talep edilmektedir.
Eğer şirketinizde Erişim Loğ kayıtları yoksa hemen aktif hale getirilmelidir. Şirket içerisinde yetkisiz bir erişimin ya da Kişisel bir verinin kim tarafından ne şekilde dışarı çıkıldığı bilgisi bu loğlar sayesinde bulunmaktadır. Üzerlerinde zaman mühürleri bulunduğundan dolayı hangi zamanda ihlalin gerçekleştiği bilgisi bu loğlar sayesinde öğrenilir.

Ağ Güvenliği ile alakalı olarak IDS ve IPS sistemleri mevcut mu? Yoksa eğer ne şekilde bir yok izlenmektedir.

IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur.
IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altına alan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi
IDS: Intrusion Detection Systems, Network Sensor: Ağımızı dinleyen sensör (Network Sensör), tüm ağımızdaki trafiği sürekli dinler kendi veri tabanında atak olarak tanımlanmış işlemleri (yetkisiz erişim, trojan, SYNflood, port scan) tesbit ettiği an bu paketleri bloklar. Bu işlem sayesinde ataklar hakkında network düzeyindeyken bilgi sahibi olunur.
IPS: özellikle ağ geçitlerine yerleştirilerek o noktadaki varlığını IP anlamında gizleyerek üzerinden geçen trafiği bölmeden çalışan, üzerinden geçen tüm trafiğe ait paketleri derinlemesine inceleyerek özellikle uygulamalara yönelik paketlerin hangisinin saldırı niteliği
taşıdığını hangisinin ise zararsız olduğunu tespit ederek ağ yapınızı eşsiz bir koruma altınaalan hünerli sistemlerdir. Şirket bünyesinde daha önceden tespit edilmesi

Kişisel Verilerin İşlenmesi Politikası’ nı oluşturduğunuz ihtimalinde; politika üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemeleri yapıyor musunuz?

Politika üzerinde, gerek şirket çalışma düzeninde meydana gelen değişiklikler, gerekse mevzuat değişikliklerine uygun şekilde güncellemelerin yapılması gerekmektedir. Aksi halde hükümler eklenmiş olsa dahi güncelliğini kaybedeceği için KVKK kapsamında cezai riskle karşı karşıya kalabilirsiniz.

DESAFE ' E ULAŞIN

Kurumunuzu KVKK uyumlu hale getiriyoruz

Eğer KEP adresiniz yok ise ön başvuru işlemlerinin 7 güne kadar uzadığını unutmayınız. Geç kalmadan kampanyamızdan faydalanarak, ön başvurunuzun tamamlanması sonrası maksimum 3 gün içerisinde Uzman Avukatlarımız ile Veri Sorumluları Siciline kaydınızı gerçekleştiriyoruz.